SSL-сертификаты
SSL — это протокол, помогающий обеспечить безопасное подключение и соединение между клиентами. Используется при TLS\SSL стеке соединений, изначально создан для безопасного соединения https:// разработчиками браузера Netscape.
Что такое цифровой сертификат (SSL-сертификат)?
Это набор символов, которые генерирует специализированный центр по сертификации в зависимости от названия домена, ваших данных. Также к нему прилагается ключ, который расшифровывается на сервере.
Используется при «рукопожатиях» — схеме проверки подлинности.
Представьте, что вас с человеком знакомит ваш общий друг. Вы знаете его, собеседник знает его. Примерно также работает и схема защищённого соединения.
Если по-простому, то сертификат — это как нотариально заверенная бумажка о том, что вы — это действительно вы. На неё и смотрит «общий друг».
Зачем нужен HTTPS и SSL?
Вопрос для нас, как компании, занимающейся продвижением и обслуживанием сайтов, актуален хотя бы потому, что гугл объявил о положительном влиянии https на ранжирование, а это небольшой, но всё же плюс.
Статья от Google: статья про ранжирование от Google
Если вкратце, то SSL требует подтверждение некоторой информации о вас, а сертификат дополнительной проверки запрашивает крайне важную информацию в плане доверия вам. И её не способны компании-однодневки предоставить. Поскольку клиент для Google — лицо, определяющее стратегию компании, был внесён пункт о повышенном ранжировании защищённого соединения.
Также при https соединении возможна передача информации об источнике перехода даже в том случае, если переходили с https.
Как было раньше?
Раньше была возможна передача информация о переходе http -> http и http -> https, переходы https -> http считались прямыми. Переходы с https на https читаются как переходы по ссылкам на сайт, а не прямые, что позволит лучше оценить вашу рекламную кампанию и переходы с соц.сетей.
Также TLS\SSL используется с электронной коммерцией, с конфиденциальной информацией, гарантируют, что вы оставляете свои данные действительно тем, кому собирались оставить.
Какие существуют сертификаты проверки?
Существует сертификация нескольких классов, они отличаются по времени выдачи и уровню надёжности владельца.
DV (domain validation) — уровень подтверждения домена.
Это базовый сертификат, он подтверждает, что этот домен — это действительно ваш домен. Он делается автоматически, но не исключено, что будет делаться выборочная проверка (что удлинит процесс получения).
Особенности и преимущества:
- Даётся на год и больше
- Дёшев (или вовсе бесплатен)
- Его достаточно для создания безопасного соединения
- Доступен как юридическим, так и физическим лицам
- Быстро устанавливается и его очень быстро получить (чаще всего не более 4ч)
- Оставляет за собой значок замка, что чуть-чуть подбадривает пользователей
Недостатки данного класса:
- Выдаётся для одного домена и одного его поддомена
- Не годится для e-commerce
OV (organization validation) — уровень подтверждения организации.
Для него требуется не только подтверждение владения доменом, но и подтверждение организации. Как уже говорилось — это помогает защититься от «компаний-однодневок». Проверка выполняется вручную, потому это требует большего времени, чем получение сертификата о подтверждении домена.
У Yandex и Google, а также множества других крупных компаний сертификаты класса OV.
Особенности и преимущества:
- Даётся на год и больше
- Поддерживает e-commerce
- Поддерживает https
- Быстро устанавливается
- Оставляет за собой значок замка, что чуть-чуть подбадривает пользователей
- Является золотой серединой, которая поддерживает и e-commerce, и wildcard, и подтверждает компанию, и стоит не так дорого.
Недостатки:
- Повышенная стоимость (для 1 домена и поддомена — от 4000р, wildcard — в среднем, в четыре раза дороже)
- Проверка подлинности ведётся несколько дней (около 3х), для неё требуется два документа из списка:
- Регистрация Вашей организации (Налоговая служба, Министерство торговли, Handelsregisterauszug и т.д.) или
- Выдержки из Вашей последней налоговой декларации и
- Подтверждение о владельцах/акционерах, директорах или президенте и
- Разрешение запрашивать свидетельства от имени организации, подписанное директором или президентом.
Extended Verification — уровень подтверждения домена, организации и подтверждение благонадёжности.
Самый понтовый сертификат, который можно получить. Многие фирмы берут либо OV, либо EV (reg.ru, thawte.com, twitter.com)
Особенности и преимущества:
- Даётся на год и больше Невероятно понтовая зелёная надпись с организацией в строке адреса
- https
- e-commerce
- Быстро устанавливается .
Недостатки:
- Огромная цена. Для одного домена и поддомена цена стоит в два раза больше, чем wildcard OV (~10000)
- Не распространяется больше, чем на один поддомен (будет обычное http-соединение у остальных)
- Большой список документов для предъявления (точнее вы можете узнать у дистрибьютора ssl-сертификатов)
- Для получения необходим как минимум OV уже полученный.
Мультисертификат и wildcard
существуют мультисертификаты и wildcard-сертификаты.
Мультисертификаты — они позволяют на несколько различных доменов установить https. Правила соответствуют классу.
Wildcard — предоставляются на один домен, но могут содержать любое количество поддоменов. Доступны только для DV и OV
Сколько стоит SSL-сертификат
Цены сложно сказать однозначно, так как разные провайдеры предоставляют огромный разброс по ним.
Например, один из самых дешёвых вариантов предоставляет такие суммы: 0, 4200р, 14 200р за DV, OV, EV. Один из самых дорогих: 8850, 12400, 32000 за DV, OV, EV.Также они имеют партнёрские системы, гораздо выгоднее купить у партнёра, чем напрямую, так как партнёры закупают оптом и чаще всего предоставляют большие скидки.
Разница между ними в уровне поддержки — в первом случае — сам плавай. Во втором — полный пакет всего, что нужно и не нужно. Скажем, SSL для поддомена OWA — для Outlook (входит в поставку DV, OV и EV).
Вообще, у reg.ru есть неплохая сравнительная таблица.Надо ли мне подключать https на сайт?
Раздел в стадии написания
Как поставить SSL-сертификаты на сервер?
Я решил попробовать поставить сертификат «по горячим следам», сразу после конференции «Формула сайта» ссылка. И это оказалось не так сложно.
У меня вышло несколько шагов:
- Фирма-регистратор запрашивает все необходимые документы
- После проверки документов, выдаёт ключ.
- Этот ключ ставится на сервер и обрабатывается командой openssl
- После этого им требуется время на создание сертификата (возможно, они его могут выдать вместе с ключом, но в моём случае был сначала ключ, потом сертификат)
- После обработки они высылают сертификат к нам.
- Надо совместить в один файл сертификат для нас и уникальную подпись регистратора SSL (хотя некоторые регистраторы могут наверняка и самостоятельно это сделать)
- Затем в конфиге NginX необходимо поставить на прослушку порт 443, указать ему с помощью определённых директив сертификаты.
- Сложность автоматизации заключается в том, что ISP не знает названия сертификатов, выданных для каждого домена лично. Потому необходимо будет немного помучить плагин автосоздания конфигов.
Более подробные сведения опишу позднее
Вопросы можно задавать в комментариях
Использовались материалы:
- С сайта https://www.startssl.com/ — они сделали рефакторинг, потому сейчас материалы по прямой ссылке недоступны
- http://habrahabr.ru/company/tuthost/blog/150433/
- https://www.reg.ru/ssl-certificate/choose — сравнительная таблица
Оставить комментарий
Комментарии (2)